File/Data Carving & Recovery Tools
Grupo de Segurança Try Hard
Ferramentas de Escultura e Recuperação
Mais ferramentas em https://github.com/Claudio-C/awesome-datarecovery
Autópsia
A ferramenta mais comum usada em forense para extrair arquivos de imagens é o Autopsy. Baixe, instale e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
Binwalk
Binwalk é uma ferramenta para analisar arquivos binários e encontrar conteúdo incorporado. É instalável via apt
e seu código fonte está no GitHub.
Comandos úteis:
Foremost
Outra ferramenta comum para encontrar arquivos ocultos é o foremost. Você pode encontrar o arquivo de configuração do foremost em /etc/foremost.conf
. Se você deseja apenas procurar por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
Scalpel
Scalpel é outra ferramenta que pode ser usada para encontrar e extrair arquivos incorporados em um arquivo. Neste caso, você precisará descomentar no arquivo de configuração (/etc/scalpel/scalpel.conf) os tipos de arquivo que deseja extrair.
Bulk Extractor
Esta ferramenta vem dentro do kali mas você pode encontrá-la aqui: https://github.com/simsong/bulk_extractor
Esta ferramenta pode escanear uma imagem e irá extrair pcaps dentro dela, informações de rede (URLs, domínios, IPs, MACs, e-mails) e mais arquivos. Você só precisa fazer:
PhotoRec
Você pode encontrá-lo em https://www.cgsecurity.org/wiki/TestDisk_Download
Ele vem com versões GUI e CLI. Você pode selecionar os tipos de arquivo que deseja que o PhotoRec pesquise.
binvis
Verifique o código e a página da ferramenta web.
Recursos do BinVis
Visualizador de estrutura visual e ativo
Múltiplos gráficos para diferentes pontos de foco
Focando em porções de uma amostra
Visualizando strings e recursos, em executáveis PE ou ELF, por exemplo
Obtendo padrões para criptoanálise em arquivos
Identificando algoritmos de empacotamento ou codificação
Identificando Esteganografia por padrões
Diferenciando binário visual
BinVis é um ótimo ponto de partida para se familiarizar com um alvo desconhecido em um cenário de caixa preta.
Ferramentas Específicas de Recuperação de Dados
FindAES
Procura por chaves AES pesquisando por suas tabelas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.
Baixe aqui.
Ferramentas Complementares
Você pode usar viu para ver imagens a partir do terminal. Você pode usar a ferramenta de linha de comando do Linux pdftotext para transformar um PDF em texto e lê-lo.
Try Hard Security Group
Last updated